¿Con qué frecuencia compras algo espontáneamente, sucumbiendo a un anuncio atractivo, y luego este artículo inicialmente deseado acumula polvo en un armario, despensa o garaje hasta la próxima limpieza de primavera o mudanza? El resultado es una decepción debido a expectativas injustificadas y dinero desperdiciado. Es mucho peor cuando esto le sucede a una empresa. Muy a menudo, los trucos de marketing son tan buenos que las empresas compran una solución costosa sin ver el panorama completo de su aplicación. Mientras tanto, las pruebas de prueba del sistema ayudan a comprender cómo preparar la infraestructura para la integración, qué funcionalidad y en qué medida se debe implementar. De esta forma podrás evitar una gran cantidad de problemas por elegir un producto “a ciegas”. Además, la implementación después de un "piloto" competente traerá a los ingenieros muchas menos células nerviosas destruidas y menos canas. Averigüemos por qué las pruebas piloto son tan importantes para un proyecto exitoso, usando el ejemplo de una herramienta popular para controlar el acceso a una red corporativa: Cisco ISE. Consideremos opciones estándar y completamente no estándar para usar la solución que encontramos en nuestra práctica.
Cisco ISE: "Servidor de radio con esteroides"
Cisco Identity Services Engine (ISE) es una plataforma para crear un sistema de control de acceso para la red de área local de una organización. En la comunidad de expertos, el producto recibió el sobrenombre de “servidor Radius con esteroides” por sus propiedades. ¿Porqué es eso? Básicamente, la solución es un servidor Radius, al que se le han adjuntado una gran cantidad de servicios y "trucos" adicionales que permiten recibir una gran cantidad de información contextual y aplicar el conjunto de datos resultante en las políticas de acceso.
Como cualquier otro servidor Radius, Cisco ISE interactúa con equipos de red de nivel de acceso, recopila información sobre todos los intentos de conectarse a la red corporativa y, según las políticas de autenticación y autorización, permite o niega el acceso a la LAN a los usuarios. Sin embargo, la posibilidad de crear perfiles, publicar e integrar con otras soluciones de seguridad de la información permite complicar significativamente la lógica de la política de autorización y, por lo tanto, resolver problemas bastante difíciles e interesantes.
La implementación no se puede poner a prueba: ¿por qué es necesario realizar pruebas?
El valor de las pruebas piloto es demostrar todas las capacidades del sistema en la infraestructura específica de una organización específica. Creo que poner a prueba Cisco ISE antes de la implementación beneficia a todos los involucrados en el proyecto, y he aquí por qué.
Esto les da a los integradores una idea clara de las expectativas del cliente y ayuda a formular una especificación técnica correcta que contiene muchos más detalles que la frase común "asegúrese de que todo esté bien". "Pilot" nos permite sentir todo el dolor del cliente, comprender qué tareas son prioritarias para él y cuáles son secundarias. Para nosotros, esta es una excelente oportunidad para averiguar de antemano qué equipos se utilizan en la organización, cómo se implementará, en qué sitios, dónde se ubicarán, etc.
Durante las pruebas piloto, los clientes ven el sistema real en acción, se familiarizan con su interfaz, pueden comprobar si es compatible con su hardware existente y obtienen una comprensión integral de cómo funcionará la solución después de la implementación completa. "Piloto" es el momento preciso en el que puede ver todos los obstáculos que probablemente encontrará durante la integración y decidir cuántas licencias necesita comprar.
¿Qué puede “aparecer” durante el “piloto”?
Entonces, ¿cómo prepararse adecuadamente para implementar Cisco ISE? Desde nuestra experiencia, hemos contado 4 puntos principales que es importante considerar durante la prueba piloto del sistema.
Factor de forma
Primero, debe decidir en qué factor de forma se implementará el sistema: línea ascendente física o virtual. Cada opción tiene ventajas y desventajas. Por ejemplo, el punto fuerte de una línea ascendente física es su rendimiento predecible, pero no debemos olvidar que dichos dispositivos se vuelven obsoletos con el tiempo. Las líneas ascendentes virtuales son menos predecibles porque... Dependen del hardware en el que se implementa el entorno de virtualización, pero tienen una gran ventaja: si hay soporte disponible, siempre se pueden actualizar a la última versión.
¿Su equipo de red es compatible con Cisco ISE?
Por supuesto, lo ideal sería conectar todos los equipos al sistema a la vez. Sin embargo, esto no siempre es posible ya que muchas organizaciones todavía utilizan conmutadores no administrados o conmutadores que no admiten algunas de las tecnologías que ejecutan Cisco ISE. Por cierto, no hablamos solo de conmutadores, también pueden ser controladores de red inalámbrica, concentradores VPN y cualquier otro equipo al que se conecten los usuarios. En mi práctica, ha habido casos en los que, después de demostrar la implementación completa del sistema, el cliente actualizó casi toda la flota de conmutadores de nivel de acceso a equipos Cisco modernos. Para evitar sorpresas desagradables, conviene conocer de antemano la proporción de equipos no compatibles.
¿Todos sus dispositivos son estándar?
Cualquier red tiene dispositivos típicos a los que no debería resultar difícil conectarse: estaciones de trabajo, teléfonos IP, puntos de acceso Wi-Fi, cámaras de vídeo, etc. Pero también sucede que es necesario conectar a la LAN dispositivos no estándar, por ejemplo, convertidores de señal de bus RS232/Ethernet, interfaces de alimentación ininterrumpida, diversos equipos tecnológicos, etc. Es importante determinar de antemano la lista de dichos dispositivos. , para que en la etapa de implementación ya comprenda cómo funcionarán técnicamente con Cisco ISE.
Diálogo constructivo con especialistas en TI
Los clientes de Cisco ISE suelen ser departamentos de seguridad, mientras que los departamentos de TI suelen ser responsables de configurar los conmutadores de capa de acceso y Active Directory. Por lo tanto, la interacción productiva entre los especialistas en seguridad y los especialistas en TI es una de las condiciones importantes para una implementación sencilla del sistema. Si estos últimos perciben la integración con hostilidad, vale la pena explicarles de qué manera la solución será útil para el departamento de TI.
Los cinco casos de uso principales de Cisco ISE
Según nuestra experiencia, la funcionalidad requerida del sistema también se identifica en la etapa de prueba piloto. A continuación se detallan algunos de los casos de uso más populares y menos comunes de la solución.
Acceso LAN seguro a través de un cable con EAP-TLS
Como muestran los resultados de la investigación de nuestros pentesters, muy a menudo para penetrar la red de una empresa, los atacantes utilizan enchufes comunes a los que se conectan impresoras, teléfonos, cámaras IP, puntos Wi-Fi y otros dispositivos de red no personales. Por lo tanto, incluso si el acceso a la red se basa en la tecnología dot1x, pero se utilizan protocolos alternativos sin utilizar certificados de autenticación de usuario, existe una alta probabilidad de un ataque exitoso con interceptación de sesión y contraseñas de fuerza bruta. En el caso de Cisco ISE, será mucho más difícil robar un certificado; para ello, los piratas informáticos necesitarán mucha más potencia informática, por lo que este caso es muy eficaz.
Acceso inalámbrico de doble SSID
La esencia de este escenario es utilizar 2 identificadores de red (SSID). Uno de ellos puede denominarse condicionalmente "invitado". A través de él tanto invitados como empleados de la empresa pueden acceder a la red inalámbrica. Cuando intentan conectarse, estos últimos son redirigidos a un portal especial donde se realiza el aprovisionamiento. Es decir, se emite un certificado al usuario y se configura su dispositivo personal para reconectarse automáticamente al segundo SSID, que ya utiliza EAP-TLS con todas las ventajas del primer caso.
Omisión y creación de perfiles de autenticación MAC
Otro caso de uso popular es detectar automáticamente el tipo de dispositivo que se está conectando y aplicarle las restricciones correctas. ¿Por qué es interesante? El hecho es que todavía hay muchos dispositivos que no admiten la autenticación mediante el protocolo 802.1X. Por lo tanto, estos dispositivos deben poder ingresar a la red utilizando una dirección MAC, que es bastante fácil de falsificar. Aquí es donde Cisco ISE viene al rescate: con la ayuda del sistema, puede ver cómo se comporta un dispositivo en la red, crear su perfil y asignarlo a un grupo de otros dispositivos, por ejemplo, un teléfono IP y una estación de trabajo. . Si un atacante intenta falsificar una dirección MAC y conectarse a la red, el sistema verá que el perfil del dispositivo ha cambiado, señalará un comportamiento sospechoso y no permitirá que el usuario sospechoso ingrese a la red.
Encadenamiento EAP
La tecnología EAP-Chaining implica la autenticación secuencial de la PC en funcionamiento y la cuenta de usuario. Este caso se ha generalizado porque... Muchas empresas todavía no fomentan la conexión de los dispositivos personales de los empleados a la LAN corporativa. Con este enfoque de autenticación, es posible verificar si una estación de trabajo en particular es miembro del dominio y, si el resultado es negativo, al usuario no se le permitirá ingresar a la red o podrá ingresar, pero con ciertas restricciones.
Posturar
Este caso trata de evaluar el cumplimiento del software de la estación de trabajo con los requisitos de seguridad de la información. Con esta tecnología, puede verificar si el software de la estación de trabajo está actualizado, si hay medidas de seguridad instaladas en ella, si el firewall del host está configurado, etc. Curiosamente, esta tecnología también permite resolver otras tareas no relacionadas con la seguridad, por ejemplo, comprobar la presencia de archivos necesarios o instalar software para todo el sistema.
Los casos de uso menos comunes para Cisco ISE incluyen control de acceso con autenticación de dominio de extremo a extremo (ID pasiva), microsegmentación y filtrado basados en SGT, así como integración con sistemas de administración de dispositivos móviles (MDM) y escáneres de vulnerabilidades.
Proyectos no estándar: ¿por qué más podría necesitar Cisco ISE, o 3 casos raros de nuestra práctica?
Control de acceso a servidores basados en Linux
Una vez estábamos resolviendo un caso bastante no trivial para uno de los clientes que ya tenía implementado el sistema Cisco ISE: necesitábamos encontrar una manera de controlar las acciones de los usuarios (principalmente administradores) en servidores con Linux instalado. En busca de una respuesta, se nos ocurrió la idea de utilizar el software gratuito PAM Radius Module, que le permite iniciar sesión en servidores que ejecutan Linux con autenticación en un servidor Radius externo. Todo en este sentido sería bueno, si no fuera por un "pero": el servidor Radius, al enviar una respuesta a la solicitud de autenticación, solo proporciona el nombre de la cuenta y el resultado: evaluación aceptada o evaluación rechazada. Mientras tanto, para la autorización en Linux, es necesario asignar al menos un parámetro más: el directorio de inicio, para que el usuario al menos llegue a alguna parte. No encontramos una manera de darle esto como atributo de radio, por lo que escribimos un script especial para crear cuentas de forma remota en hosts en modo semiautomático. Esta tarea era bastante factible, ya que se trataba de cuentas de administrador, cuyo número no era tan grande. A continuación, los usuarios iniciaban sesión en el dispositivo requerido y después se les asignaba el acceso necesario. Surge una pregunta razonable: ¿es necesario utilizar Cisco ISE en tales casos? En realidad, no: cualquier servidor Radius servirá, pero como el cliente ya tenía este sistema, simplemente le agregamos una nueva función.
Inventario de hardware y software en la LAN
Una vez trabajamos en un proyecto para suministrar Cisco ISE a un cliente sin un "piloto" preliminar. No había requisitos claros para la solución y además estábamos tratando con una red plana y no segmentada, lo que complicó nuestra tarea. Durante el proyecto, configuramos todos los métodos de creación de perfiles posibles que admitía la red: NetFlow, DHCP, SNMP, integración AD, etc. Como resultado, el acceso a MAR se configuró con la capacidad de iniciar sesión en la red si fallaba la autenticación. Es decir, incluso si la autenticación no fuera exitosa, el sistema aún permitiría al usuario ingresar a la red, recopilaría información sobre él y la registraría en la base de datos de ISE. Este monitoreo de la red durante varias semanas nos ayudó a identificar sistemas conectados y dispositivos no personales y desarrollar un enfoque para segmentarlos. Después de esto, configuramos adicionalmente la publicación para instalar el agente en las estaciones de trabajo con el fin de recopilar información sobre el software instalado en ellas. ¿Cuál es el resultado? Pudimos segmentar la red y determinar la lista de software que debía eliminarse de las estaciones de trabajo. No ocultaré que otras tareas de distribución de usuarios en grupos de dominio y delimitación de derechos de acceso nos llevaron bastante tiempo, pero de esta manera obtuvimos una imagen completa de qué hardware tenía el cliente en la red. Por cierto, esto no fue difícil gracias al buen trabajo de perfilado desde el primer momento. Bueno, donde la creación de perfiles no ayudó, nos fijamos nosotros mismos, resaltando el puerto del conmutador al que estaba conectado el equipo.
Instalación remota de software en estaciones de trabajo.
Este caso es uno de los más extraños en mi práctica. Un día, un cliente vino a nosotros pidiendo ayuda: algo salió mal al implementar Cisco ISE, todo se rompió y nadie más pudo acceder a la red. Empezamos a investigarlo y descubrimos lo siguiente. La empresa contaba con 2000 ordenadores que, a falta de un controlador de dominio, se gestionaban bajo una cuenta de administrador. Para fines de peering, la organización implementó Cisco ISE. Era necesario comprender de alguna manera si había un antivirus instalado en las PC existentes, si el entorno del software estaba actualizado, etc. Y dado que los administradores de TI instalaron equipos de red en el sistema, es lógico que tuvieran acceso a ellos. Después de ver cómo funciona y probar sus PC, a los administradores se les ocurrió la idea de instalar el software en las estaciones de trabajo de los empleados de forma remota, sin visitas personales. ¡Imagínese cuántos pasos puede ahorrar por día de esta manera! Los administradores llevaron a cabo varias comprobaciones de la estación de trabajo para detectar la presencia de un archivo específico en el directorio C:Archivos de programa y, si no estaba, se iniciaba la corrección automática siguiendo un enlace que conducía al almacenamiento del archivo .exe de instalación. Esto permitió a los usuarios normales acceder a un recurso compartido de archivos y descargar el software necesario desde allí. Desafortunadamente, el administrador no conocía bien el sistema ISE y dañó los mecanismos de publicación; escribió la política incorrectamente, lo que generó un problema en el que participamos para resolverlo. Personalmente, estoy sinceramente sorprendido por un enfoque tan creativo, porque crear un controlador de dominio sería mucho más económico y requeriría menos mano de obra. Pero como prueba de concepto funcionó.
Lea más sobre los matices técnicos que surgen al implementar Cisco ISE en el artículo de mi colega. .
Artem Bobrikov, ingeniero de diseño del Centro de Seguridad de la Información de Jet Infosystems
Epílogo:
A pesar de que esta publicación habla del sistema Cisco ISE, los problemas descritos son relevantes para toda la clase de soluciones NAC. No es tan importante qué solución del proveedor se planea implementar; la mayor parte de lo anterior seguirá siendo aplicable.
Fuente: habr.com